Microsoft Modern Management: Migratie van MobileIron naar de Microsoft Endpoint Manager service

Microsoft Endpoint Manager is de overkoepelende service naam waaronder de Intune service valt, maar ook de Autopilot service, Desktop Analytics, co-management en System Center Configuration Manager vallen hier onder.

De klant

Een belgische financiele instelling actief in verzekeringen met een eerder traditionele aanpak wat betreft IT infrastructuur. Deze klant zet nog maar de eerste stappen naar de Microsoft SaaS oplossingen, beschikbaar in Microsoft 365 E3 suite.

Mail & file servers worden gebruikt en staan in het private datacenter. Zowel de laptops als smartphones & tablets  connecteren naar het datacenter via traditionele VPN connectiviteit.

Waarom migreren naar Microsoft Endpoint Manager (Intune)

Na heel wat jaren een on premises enterprise mobility management (EMM) systeem uit te baten, is door de aanpassing van het licentie model binnen de Microsoft Enterprise Agreement van de klant, de Microsoft 365 E3 licentie beschikaar gemaakt voor alle gebruikers.

Gezien in de M365 E3 licentie de Intune service vervat zit, wordt het evident dat betalen voor twee EMM oplossingen ver van optimaal is naar rendement op de investering (ROI).

Bovendien kent Intune een ideale integratie met Windows 10, Azure AD conditional Access en Office 365, waardoor heel wat organisaties (overwegen) over (te) stappen van de bestaande enterprise mobility management oplossing zoals Airwatch of MobileIron, enz naar Microsoft Intune – Microsoft Endpoint Manager.

Wat moet er gebeuren?

Deze financiële instelling heeft tot nu MobileIron gekozen voor het beheer van iOS devices (iPhones & iPads) die nu allemaal gefaseerd moeten migreren naar Microsoft Intune service (deel van Microsoft Endpoint Manager).

De migratie wordt als successvol beschouwd als volgende criteria bereikt worden:

Functionele vereisten:

• Microsoft Endpoint Manager operationeel brengen.
• Nieuwe toestellen worden in beheer genomen van Intune/MEM.
• Een evenwaardig of beter beheer van de Apple devices ten opzichte van het MobileIron platform.
• Een goede eindgebruikers ervaring met respect voor privacy.
• Veilig gebruik van bedrijfdata zonder impact op de persoonlijke data.

Technische vereisten:

1. Veilige toegang aan company resources via een Intune/MEM enrolled device.
2. Via de Outlook mobile app toegang aan de on-prem exchange en persoonlijke mailbox & agenda’s.
3. Certificate deployement via MEM vanuit de on-prem CA (PKI)
4. Per app VPN functionaliteit
5. Mobile Application Management Policies om DLP toe te passen en een scheiding te hebben tussen persoonlijke en bedrijfsdata.
6. Selectief wissen van bedrijfsdata zonder de persoonlijke data te raken.
7. Supervised mode met Apple Business Manager (ABM) om “activation lock bypass” functionaliteit te bewaren.

Kwaliteits criteria:

• Eindgebruiker kan bedrijfs en persoonlijke mail en kalender raadplegen via Outlook op Intune/MEM mobile devices.
• De security requirements gehaald zijn.

De grootste verandering voor de eindgebruiker is het gebruik van de MS Outlook app in plaats van de native mail & kalender apps van iOS.

Maar niet enkel dat zal de eindgebruiker moeten leren (aangeleerd worden). Ook de mobile application management (MAM) policies die mogelijk zijn met de “enlightened apps” (apps die de Intune SDK | software development kit | in zich dragen) zullen nieuwe uitdagingen met zich meebrengen. Mogelijkheden zoals copy/past restricties, save-as restricties en app pin code / finger print id / face id.

Onze aanpak

Na een AS-IS en TO-BE bepaling on-site bij de klant (3 dagen), concludeerde we dat een succesvolle migratie mogelijk is. Nochtans zouden er nog wat stappen moeten gezet worden om de beoogde resultaten te kunnen halen:

• Exchange Hybrid setup (die lopende is), om aan de slag te kunnen met de Outlook app. (tenzij je basic authentication met ActiveSync protocol nog wil inzetten. Hier niet)
• Herbekijken van de conditional access setup die als volgt werd opgezet: block all apps for all users – except for connections from trusted ip’s.

Er werd met de klant afgesproken om in eerste instantie enkel de nieuw aangekochte toestellen in de nieuwe Microsoft Intune service te enrollen. Dit is een prima manier om geleidelijk aan de organisatie naar een nieuw systeem te begeleiden. Ook de (te) grote impact die de factory reset van de bestaande toestellen op de eindgebruikers zou hebben (vanwege de supervised mode waarmee de toestellen in MobileIron enrolled zijn) was hierin bepalend.

Waarna bleek dat het verwijderen van een MDM profiel van het mobiele toestel, niet afgedwongen werd in de MobileIron opzet, en enkel de activation lock bypass belangrijk is als vereiste, weten we dat er geen factory reset moet gebeuren op de bestaande toestellen. Die kunnen simpelweg un-enrollen uit MobileIron, en erna enrollen in MS Intune. Het toestel zal nog steeds een activation lock bypass kunnen krijgen vanuit Intune. Dit gegeven maakt de migratie heel wat minder zwaar voor de eindgebruiker en de support dienst.

Dit is heel belangrijk: Zorg dat je de basis functionaliteit in je project, die de klant vereist, heel gedetailleerd in kaart brengt en valideerd. Met het “minimum viable procuct” (MVP) overeen te komen geeft je een duidelijke richting en afgebakende eind status, waarop je nadien vlot kan verder werken en uitbreiden.

Microsoft Endpoint Manager is een service die heel wat evoluties kent, en mogelijkheden veranderen aan een snel tempo. Wat nu nog “best practice” is, is dat goed mogelijk morgen niet meer. Wat vandaag kan, misschien morgen niet meer. Denk maar aan legacy authentication, etc..

Om dit project tot een goed einde te brengen starten we met een POC (Proof of concept) om te bewijzen dat het MVP (minimal viable product) gehaald wordt en dat er geen blokkerende factoren naar boven komen die niet in de AS-IS analyse gedetecteerd werden (wat best mogelijk is, afhankelijk van de complexiteit van de omgeving en de beperkte tijd die je aan een AS-IS analyse kan spenderen).

MVP:

1. Veilige toegang aan company resources via een Intune/MEM enrolled device.
2. Via de Outlook mobile app toegang aan de on-prem exchange en persoonlijke mailbox & agenda’s.
3. Mobile Application Management Policies om DLP toe te passen en een scheiding te hebben tussen persoonlijke en bedrijfsdata.
4. Selectief wissen van bedrijfsdata zonder de persoonlijke data te raken.
5. Supervised mode & Apple Business Manager (ABM) om “activation lock bypass” functionaliteit te bewaren.

Architectuur diagram van de oplossing:

Bij elke opdracht starten we met het opbouwen van de logische architectuur om alle bewegende delen goed in kaart te brengen en makkelijker met alle stakeholder in overleg te kunnen gaan.

Opzetten van de Microsoft Endpoint Manager service:

• Configure MDM Authority
• Configure APN Certificate
• Configure MDM DNS Records
• Configure Company Portal
• Configure Portal Terms and Conditions
• Device Enrollment Administrator
• Device Enrollment and Type Restrictions
• Device Groups
  • Step 1: Create Azure Active Directory Dynamic Device Security Groups
  • Step 2: Device Categories
  • Step 3: Select Device Category
• Setup automatic enrollment
• Microsoft Store App

MEM Policies

• Compliance Policies
• Configuration Policies
• Basic Configuration Policy Overview
• Conditional access policies
• Software Update Policies

1. Start Proof of Concept (POC)
2. Enroll test mobile device(s) into MEM – in supervised mode
3. Allign with CISO to validate MEM security posture of mobile devices compared to MobileIron managed device.
4. Develop a migration path for all existing devices.

Het resultaat en de gerealiseerde voordelen

• Optimalisatie van de licentie kost met betrekking tot EMM systemen (MobileIron kan uitgefaseerd worden).
• Eindgebruikers kunnen de vertrouwde Microsoft Office apps gebruiken voor zowel bedrijfs al persoonlijke data op hun iPhone, en dit op een veilige manier door middel van de Mobile Application Management (MAM) policies die de beide werelden van mekaar isoleren.
  • Outlook voor bedrijfs en persoonlijke mail en kalender
  • Onedrive voor bedrijfs en persoonlijke files
• Het bedrijf kan gerust zijn dat indien een mobile endpoint verloren of gestolen wordt, de bedrijfdata vanop afstand gewist kan worden.
• Modern management wordt mogelijk voor Windows 10 endpoint in samenwerking met System Center Configuration Manager (SCCM)

Ben je na het lezen van dit artikel benieuwd of migreren naar Microsoft Endpoint Manager de kosten kan drukken en de veiligheid verhogen? Neem snel contact op via onderstaand formulier. We praten graag over onze oplossingen, maar we luisteren liever naar jouw noden.